建设银行任意取钱漏洞

admin

漏洞概要 关注数(233) 关注此漏洞
( A# C  S3 G- u! t1 T
缺陷编号： WooYun-2012-15569
/ L, e  S/ Z; ^: X) }. l
4 d# Q, M; x* g) j1 F漏洞标题： 中国建设银行刷人民币漏洞
" r, @+ T5 S" ~3 I$ f9 q
+ Q  J/ l2 }, Z8 N2 A( k相关厂商： 建设银行
  d& F9 }9 R( K, U
漏洞作者： only_guest
: A( Q4 x9 f* f  A: ~
提交时间： 2012-12-03

3 \6 X5 @& L5 X) j( S9 [漏洞类型： 设计缺陷/逻辑错误
" W6 }. z. J1 w; V2 P3 f
( @3 d* q; v* C( G- l危害等级： 高

4 s* q5 {2 `2 V. d, \% Y漏洞状态： 已交由第三方厂商(cncert国家互联网应急中心)处理
( C% L  X( o" `* i2 B
* f1 X& p- j6 q0 }3 _漏洞来源： http://www.wooyun.org

) v2 B- h4 R' d$ `Tags标签： 无

* t, X, ^1 m3 p' ]

0 m/ e1 R9 n! O. g6 M8 f20人收藏收藏
分享漏洞：
/ \; a" M- U2 z: ?2 g35

. C( d. c6 q# n$ ^2 u--------------------------------------------------------------------------------

漏洞详情
  ^9 ~( U$ ?8 r6 ?
& ?4 }1 ?9 f* m. Y4 E" }+ u3 c披露状态：

6 t7 @# J2 @2 ^) q

2012-12-03： 细节已通知厂商并且等待厂商处理中
2012-12-04： 厂商已经确认，细节仅向厂商公开
: b7 f" \" I7 G
& Z5 ?& b; @7 g, z6 P8 }
简要描述：
+ T3 R7 o0 b3 \1 M" [; q2 s
  X) R% Q6 g- Z8 b, b3 b5 x( t偶然测试发现.就让我再做次标题党吧,我就刷了90块钱...
; w% t& n( n3 p2 a 测试用的.你们收回去就是了.我是良民.

漏洞hash：47b3d87350e20095c8f314b7b6405711
. Z$ f% w2 D0 J* j) k  h
* A4 u$ w7 x3 i0 [1 z版权声明：转载请注明来源 only_guest@乌云
" k( ~7 u6 l# f
--------------------------------------------------------------------------------
( p. f/ Z* o% z3 b# X" k! N/ ^
3 _5 n" r$ D+ ~' s漏洞回应
  m$ |1 b" i( H% u/ s
* f  K6 o  |" ^% v/ K. D7 z! f; s/ v厂商回应：

: F3 y: D8 o9 p5 a) X% Q; ?/ Y. n危害等级：高
9 ~% N& J3 b. b: V+ f
& {! G0 D7 s+ _* H4 e漏洞Rank：12

确认时间：2012-12-04
8 Z( c( ?1 Q6 d& ~/ @
厂商回复：

CNVD确认漏洞情况，已经转由CNCERT在4日联系建设银行处置，待后续处置反馈。

同时，近期此类订单篡改（或支付篡改）漏洞在一些网上商城或支付网站频发，对于POST方式提交以及订单未进行一致性校验是构成风险的主要原因。

2 ?2 _3 r* z9 ^5 J按部分影响完整性、可用性进行评分，基本危害评分6.42(中危)，发现技术难度系数1.1，涉及行业或单位影响系数1.7，综合rank=12.00